那该怎么办呢？可能许多人会说将域用户加入到本地管理员或poweruser组不就可以了。这确实是个办法，不过，如果人一多，那我岂不是要累死了（没事，还好我年轻。）

那，有没有更好的办法呢？

当然有了，既然是域用户，为什么我们不可以用组策略做到这点呢？组策略有这么多条，那到底是哪条呢？

其实，组策略的“受权限的组”功能就能满足这里的要求。它的位置在组策略的“计算机配置/windows设置/安全设置/受权限的组”。（注意了哦，别到自己电脑上看，会让你失望的，）

那，“受权限的组”到底是干什么地呢？它的意思就是你可以在这里设定某个用户组包含那些成员。不是这里设定的成员将在下次组策略应用时被删除掉。在这里，我将新添加的域用户设置成管理员组administrators的成员。然后刷新下，解决问题了！

注意哦，“受权限的组”还可以实现其他的功能哦，比如你想让域用户只能登陆域，而不能登陆本机，你可以users组配置成只包含domain users 。这样，只有域用户才能够登陆。当然，所有的客户机的administrator帐户应该由管理员同意控制。本文出自 51CTO.COM技术博客